AWS 账户 访问 - AWS IAM Identity Center
AWS 账户 类型 分配 AWS 账户 访问 最终用户体验强制和限制访问权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 账户 访问

AWS IAM Identity Center 已与集成 AWS Organizations,这使您能够集中管理多个权限 AWS 账户 无需手动配置每个帐户。您可以定义权限并将这些权限分配给员工用户,以控制他们对特定权限的访问权限 AWS 账户 使用IAM身份中心的组织实例。Ident IAM ity Center 的@@ 账户实例不支持账户访问权限。

AWS 账户 类型

有两种类型的 AWS 账户 in AWS Organizations:

  • 管理账户- AWS 账户 用于创建组织。

  • 成员账户-其余的 AWS 账户 属于一个组织的。

有关 AWS 账户 类型,请参阅 AWS Organizations中的术语和概念 AWS Organizations 用户指南

您也可以选择将成员账户注册为 Ident IAM ity Center 的委托管理员。此帐户中的用户可以执行大多数 Ident IAM ity Center 管理任务。有关更多信息,请参阅 委派管理

对于每种任务和帐户类型,下表指明了账户中的用户是否可以执行 Ident IAM ity Center 管理任务。

IAM身份中心管理任务 成员帐户 委托管理员帐户 管理帐户
读取用户或组(阅读组本身和组的成员资格)
添加、编辑或删除用户或组
启用或禁用用户访问权限
启用、禁用或管理传入属性
更改或管理身份源
创建、编辑或删除客户托管的应用程序
创建、编辑或删除 AWS 托管应用程序
配置 MFA
管理管理帐户中未配置的权限集
管理管理帐户中已配置的权限集
启用IAM身份中心
删除IAM身份中心配置
在管理帐户中启用或禁用用户访问权限
将成员帐户作为委派管理员注册或取消注册

分配 AWS 账户 访问

您可以使用权限集来简化向组织中的用户和群组分配访问权限的方式 AWS 账户。 权限集存储在 Ident IAM ity Center 中,用于定义用户和组对权限的访问级别 AWS 账户。 您可以创建单个权限集并将其分配给多个权限集 AWS 账户 在你的组织内。您也可以将多个权限集分配给同一个用户。

有关权限集的更多信息,请参阅创建、管理和删除权限集

注意

您还可以为用户分配对应用程序的单点登录访问权限。有关信息,请参阅应用程序访问权限

最终用户体验

这些区域有:AWS 访问门户为 Ident IAM ity Center 用户提供了对其分配的所有用户的单点登录访问权限 AWS 账户 以及通过门户网站提供的应用程序。这些区域有: AWS 访问门户不同于 AWS Management Console,这是一组用于管理的服务控制台 AWS 资源的费用。

创建权限集时,您为该权限集指定的名称会显示在 AWS 以可用角色访问门户。用户登录 AWS 访问门户,选择一个 AWS 账户,然后选择角色。在他们选择角色后,他们就可以访问了 AWS 通过使用以下方式提供服务 AWS Management Console 或者检索临时凭证进行访问 AWS 以编程方式提供服务。

要打开 AWS Management Console 或者检索临时凭证进行访问 AWS 通过编程方式,用户可以完成以下步骤:

  1. 用户打开浏览器窗口,使用您URL提供的登录信息导航至 AWS 访问门户。

  2. 他们使用他们的目录凭据登录到 AWS 访问门户。

  3. 身份验证后,在 AWS 访问门户页面,他们选择 “帐户” 选项卡以显示以下列表 AWS 账户 他们可以访问这些地方。

  4. 然后,用户选择 AWS 账户 他们想用的。

  5. 在名字下方 AWS 账户,则向其分配用户的所有权限集都显示为可用角色。例如,如果您john_stiles为用户分配了PowerUser权限集,则该角色将显示在 AWS 访问门户的身份为PowerUser/john_stiles。分配有多个权限集的用户选择要使用的角色。用户可以选择自己的角色来访问 AWS Management Console.

  6. 除了角色之外, AWS 访问门户用户可以通过选择访问密钥来检索命令行或编程访问的临时证书。

有关您可以向员工用户提供的 step-by-step 指导,请参阅使用 AWS 访问门户获取IAM身份中心用户凭证 AWS CLI 或者 AWS SDKs

强制和限制访问权限

启用IAM身份中心后,IAM身份中心会创建一个与服务相关的角色。您也可以使用服务控制策略 (SCPs)。

委派和强制访问权限

服务相关角色是一种直接链接到的IAM角色 AWS 服务。启用 IAM Identity Center 后,IAMIdentity Center 可以在每个身份中心中创建一个服务相关角色 AWS 账户 在你的组织中。此角色提供预定义权限,允许 Ident IAM ity Center 委派和强制执行哪些用户对特定用户具有单点登录访问权限 AWS 账户 在你的组织中 AWS Organizations。 您需要为一个或多个具有账户访问权限的用户分配才能使用此角色。有关更多信息,请参阅了解 Identity C IAM enter 中的服务相关角色为IAM身份中心使用服务相关角色

限制成员帐户对身份存储的访问权限

对于 Identity Center 使用的IAM身份存储服务,有权访问成员账户的用户可以使用需要读取权限的API操作。成员帐户有权访问 sso 目录identitystore 命名空间上的 读取操作。有关更多信息,请参阅的操作、资源和条件键 AWS IAM Identity Center的目录和操作、资源和条件键 AWS服务授权参考中的身份存储。

要防止成员账户中的用户使用身份存储中的API操作,您可以附加服务控制策略 (SCP)。SCP是一种组织策略,可用于管理组织中的权限。以下示例SCP禁止成员账户中的用户访问身份存储中的任何API操作。

        {
            "Sid": "ExplicitlyBlockIdentityStoreAccess",
            "Effect": "Deny",
            "Action": "identitystore:*", "sso-directory:*"],
            "Resource": "*"
        }
注意

限制成员帐户的访问权限可能会影响启用 Identity Center 的IAM应用程序的功能。

有关更多信息,请参阅《》中的服务控制策略 (SCPs) AWS Organizations 用户指南